Как перестать использовать пароль «123456» и начать жить

Компания SplashData опубликовала список самых популярных паролей интернета, основанный на данных утечек паролей пользователей всевозможных сервисов. Разумеется, в результатах немного паролей, сгенерированных случайным образом — большинство выбирает пароли в соответствии с какими-то своими ассоциациями, и обычно одни и те же.

Да, в 2016 году самые популярные пароли все те же, что и всегда — «123456» и «password». Также вечные хиты — дата рождения и номер телефона. Иногда пароли привязываются к каким-то знаменательным событиям, например, в этом году в рейтинг наиболее распространенных попал «starwars».

Но не стоит подвергать себя такому риску и использовать настолько простые пароли — их при попытке брутфорса злоумышленники будут пробивать первыми. Так как же обезопасить свой аккаунт и при этом не сойти с ума, придумывая все новые пароли и пытаясь их запомнить? Попробуем разобраться, какие существуют сервисы и программы, способные с этим помочь. Разумеется, мы рассмотрим лишь несколько самых популярных продуктов, и подборка не претендует на полноту.

Менеджеры паролей

Тяжело заставить себя отказаться от использования одного пароля на все сервисы и перестать использовать простые комбинации, которые легко запомнить и быстро ввести. Но решить эту проблему способны менеджеры паролей — они умеют придумать длинный пароль, не содержащий словарных слов, сохранить его, а потом, например, скопировать его в буфер обмена, а не пытаться ввести руками. Рассмотрим наиболее популярные и бесплатные.

KeePass

Open-source менеджер паролей, свободно распространяющийся под Windows (только старая версия 1.x), а в версии 2.x — еще и под Mono в OS X и Linux. База паролей шифруется AES-256 и хранится в отдельном файле — базе, которую можно легко забрать с собой на флешке или сохранить в облаке. С форматом хранения паролей KeePass умеют работать и некоторые другие клиенты, например, KeePassX.

Сама программа работает локально, а значит, меньше подвержена уязвимостям, чем облачные хранилища. К тому же она умеет генерировать пароли, так что ею можно пользоваться просто как генератором (только зачем?).

Сайт программы: http://keepass.info/


LastPass

Достаточно известный менеджер паролей, на этот раз облачный. Можно использовать бесплатную версию или купить премиум-пакет. Сервис можно использовать из-под Windows, OS X и Linux, он работает во всех наиболее распространенных браузерах — Firefox, Chrome, IE и некоторых других. Управлять базой паролей можно через веб-интерфейс либо portable-клиент, загрузив базу из облака себе на компьютер.

Основной недостаток — хранение базы на облаке, это повышает риск взлома или кражи всех баз с сервиса. К тому же интернет у вас есть не всегда, и не факт, что вы успеете сохранить базу локально, предусмотрев вариант его пропажи.

Сайт сервиса: https://lastpass.com/

Генераторы паролей

Если же вы уверены в своей памяти или не желаете собирать все пароли в базу, то ваш выбор — простые генераторы паролей, например, специализированные сайты или даже самописный вариант.

PWGen

PWGen — генератор криптостойких паролей с открытым исходным кодом, работающий локально. Под Linux он работает как консольное приложение, существует и аналог на Windows, с графическим интерфейсом. Главная задача программы — сгененировать пароль, который будет сложно подобрать и не слишком тяжело запомнить человеку. К тому же он генерирует много паролей сразу — удобно, когда нужны пароли для большого количества людей.

Установка в дистрибутивах, использующих rpm (RHEL, CentOS, Fedora, SuSE):

В дистрибутивах, использующих deb (Debian, Ubuntu, Kubuntu):

Windows-вариант: http://pwgen-win.sourceforge.net/


Онлайн-генератор c энтропией

Этот генератор выделяет то, что результаты его работы напрямую зависят от того, как вы будете перемещать мышь и какие нажмете кнопки во время генерации. Энтропия реализуется просто: во время событий mousemove, click, keydown сохраняются координаты курсора, код нажатой клавиши и некоторые другие параметры. Затем эти данные используются для инициализации генератора. А еще пароль генерируется на стороне клиента, поэтому перехватить во время пересылки его не получится.

Ссылка на генератор: http://genpas.peter23.com/


PasswordCard

Этот сервис генерирует не просто строку с паролем, а ПарольКарту — карточку размером с кредитку, которую можно сохранить на компьютере или распечатать, заламинировать и носить с собой. Если грамотно ее использовать, даже получив карту в руки, злоумышленник вряд ли сможет подобрать по ней ваши пароли — трудно угадать, какие из тысяч комбинаций на карте являются паролями.

Для использования нужно просто запомнить, в какой строке или столбце записан ваш пароль, и затем просто вводить его с карточки. Читать карту слева направо необязательно и даже не рекомендуется — можно и справа налево, сверху вниз или даже по диагонали. Именно множество вариантов прочтения и позволяет хранить на одной карте очень большое количество паролей. Можно также отдельно сохранить номер карточки и затем восстановить по нему карту, если она вдруг будет потеряна.

Ссылка на сервис: http://www.passwordcard.org/ru


Тем же, кто не доверяет всем этим сервисам или хочет использовать свое, родное, можно посоветовать написать свой генератор паролей — на самую простую реализацию уйдет не больше 15 минут.